Il GDPR è una materia vasta e complessa che tocca diversi punti nevralgici dell’azienda.
Destreggiarsi tra i vari articoli e capire concretamente cosa bisogna fare per mettersi in regola è complicato, soprattutto per quelle aziende che con fatica possono distogliere l’attenzione dai propri obiettivi di business.
Questo è il primo di una serie di post legati al Regolamento per la protezione dei dati che ci permetterà di approfondire sempre di più la materia e dare consigli pratici e soluzioni da adottare per rispondere ai requisiti.
1) Il GDPR cos’è
Con GDPR, acronimo di General Data Protection Regulation, si intende il Regolamento UE 2016/679 entrato in vigore il 24 maggio e direttamente applicabile dal 25 maggio 2018, termine ultimo per adeguarsi ai principi
L’intera normativa GDPR si basa su due importanti direttrici: il rafforzamento del concetto di responsabilizzazione e dei doveri che ne conseguono per il Titolare del trattamento e il rafforzamento dei diritti dell’interessato.
Il Titolare del trattamento, quindi, deve adeguarsi ai principi del Regolamento, mettendo in atto misure tecniche e organizzative per provarne l’adattamento e assicurarne il mantenimento.
Per ottemperare agli obblighi del GDPR, sono necessari due elementi:
Privacy by design → già in fase di progettazione dei sistemi informativi e dei mezzi per il trattamento, devono essere designate le misure tecniche e organizzative adeguate
Privacy by default → Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
2) I principi guida del GDPR
Oltre al principio cardine della responsabilizzazione, sono da annoverare i seguenti punti chiave:
Liceità, correttezza e trasparenza → i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato
Minimizzazione dei dati → i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità
Esattezza → i dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti
Limitazione della conservazione → i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati
Integrità e riservatezza → i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione dalla distruzione o dal danno accidentali.
3) Chi deve adeguarsi al GDPR
A chi si applica il GDPR?
Questo Regolamento coinvolge tutte le aziende europee che gestiscono in vari modi i dati personali; in particolare:
si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (art.3)
Non rientrano, quindi, nel tema, tutte le attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.
4) I diritti dell’interessato
Se da una parte vengono elencati gli obblighi per i Titolari del trattamento, dall’altra vengono elaborati dei diritti a favore dell’interessato del trattamento. Fra questi:
Informativa sul trattamento. Le informazioni relative al trattamento devono essere presentate in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L’interessato ha il diritto di essere informato sulla finalità del trattamento, sugli eventuali destinatari/utilizzatori dei dati, sul periodo di conservazione dei dati, sulle modalità per richiedere la rettifica o la cancellazione
Diritto di accesso. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano
Diritto di rettifica e di cancellazione (o “diritto all’oblio). L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica o la cancellazione dei dati personali inesatti che lo riguardano senza ingiustificato ritardo
Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti
Diritto di opposizione. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali
5) Una nuova figura: il DPO
Il Regolamento introduce una nuova figura, il DPO, ovvero il Data Protection Officer.
In cosa consiste il ruolo del DPO? Il DPO, innanzitutto, può essere un dipendente o un consulente esterno.
Il DPO, come dice già il suo nome, è il Responsabile della Protezione dei Dati (diverso dal Responsabile o Titolare del trattamento). Quali sono i suoi compiti?
Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR
sorvegliare l’osservanza del GDPR, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
fungere da punto di contatto per l’autorità di controllo
6) Strumenti per garantire la sicurezza dei dati personali
Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative utili per garantire un livello di sicurezza adeguato al rischio, che comprendono, solo a titolo di esempio,
la pseudonimizzazione e la cifratura dei dati personali
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
7) Inventario degli asset tecnologici (o “Asset Inventory”)
Su questo tema, verrà riservato un post specifico, entrando un po’ più negli aspetti pratici su che cosa devono fare concretamente le aziende.
Tra le azioni pratiche da adottare per rispondere ai requisiti richiesti dal GDPR è importante l’Asset Inventory (o inventario degli asset tecnologici).
L’inventario degli asset tecnologici serve ad avere una panoramica completa di tutti gli elementi che compongono il sistema, compresi quelli preposti alla sicurezza e alla gestione delle informazioni. Alcuni degli elementi da censire:
Dispositivi: Computer, server, tablet, dispositivi di rete ma anche telecamere IP, apriporta, sistemi di rilevazione presenza, …
Software: Dotazione software dei dispositivi presenti in rete e informazioni dettagliate degli stessi.
Archivi: Database, condivisioni di file
Utenti: Elenco degli utenti che hanno diritto all’accesso a dispositivi e software presenti in azienda
L’Asset Inventory è lo step intermedio tra la stesura del Registro dei trattamenti e il Sistema informativo. Attraverso il Registro dei trattamenti, i Responsabili dell’azienda stilano una lista di tutti gli applicativi utilizzati per il trattamento. Il Registro può essere sia in forma scritta sia in formato elettronico e rappresenta un censimento, costantemente aggiornato, dei dati trattati, degli archivi, delle categorie degli interessati. A questo si aggiunge l’Asset Inventory, l’inventario di tutti gli asset tecnologici presenti in azienda.
8) Cos’è il Data Breach e cosa comporta
Cosa succede in caso di violazione dei dati personali (chiamata anche Data Breach)?
In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
La notifica deve avere le seguenti caratteristiche:
Descrivere la natura della violazione dei dati personali compresi,
Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali
descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.